XX公司网络安全设计方案.docx

1、XX 公司网络信息系统的安全方案设计书 XX 公司网络安全隐患与需求分析 1.1网络现状 公司现有计算机 500500 余台，通过内部网相互连接与外网互联。在内部网络中, 各服务部门计算机在同一网段，通过交换机连接。如下图所示： 1 2安全隐患分析 1.2.11.2.1 应用系统的安全隐患 应用系统的安全跟具体的应用有关，它涉及面广。应用系统的安全是动态的、 不断变化 的。应用的安全性也涉及到信息的安全性， 它包括很多方面。应用的安 全性也是动态的。 需要对不同的应用，检测安全漏洞，采取相应的安全措施，降 低应用的安全风险。主要有 文件服务器的安全风险、数据库服务器的安全风险、 病毒侵害的安全

2、风险、数据信息的安 全风险等 1.2.21.2.2 管理的安全隐患 管理方面的安全隐患包括：内部管理人员或员工图方便省事，不设置用户口令, 或者设 置的口令过短和过于简单， 导致很容易破解。 责任不清， 使用相同的用户 名、口令，导 致权限管理混乱，信息泄密。用户权限设置过大、开放不必要的服 务端口，或者一般用户 因为疏忽，丢失帐号和口令，从而造成非授权访问，以及 把内部网络结构、 管理员用户名 及口令以及系统的一些重要信息传播给外人带来 信息泄漏风险。内部不满的员工有的可能 造成极大的安全风险。 1.2.31.2.3 操作系统的安全漏洞 计算机操作系统尤其服务器系统是被攻击的重点， 如果操作

3、系统因本身遭到 攻击， 则不仅影响机器本身而且会消耗大量的网络资源， 致使整个网络陷入瘫痪。 1.2.41.2.4 病毒侵害 网络是病毒传播最好、 最快的途径之一。 一旦有主机受病毒感染， 病毒程序 就完 全可能在极短的时间内迅速扩散， 传播到网络上的所有主机， 可能造成信息 泄漏、文件 丢失、机器不能正常运行等。 2.1需求分析 XXXX 公司根据业务发展需求，建设一个小型的企业网，有 WebWeb MailMail 等服务 器和办公区 客户机。 企业分为财务部门和业务部门， 需要他们之间相互隔离。 同 时由于考虑到 InternetInternet 的安全性，以及网络安全等一些因素。因此本

4、企业的网 络安全构架要求如下： 1.1.根据公司现有的网络设备组网规划； 2.2.保护网络系统的可用性； 3.3. 保护 网络系 统服务的连续性； 4.4. 防范网络资源的非法访问及非授权访问； 5.5.防范入侵 者的恶意攻击 与破坏； 6.6. 保护企业信息通过网上传输过程中的机密性、完整性； 7.7. 防范病毒的侵害； 8.8.实现网络的安全管理。 通过了解 XXXX 公司的虚求与现状， 为实现 XXXX 网络公司的网络安全建设实施 网络系 统改造， 提高企业网络系统运行的稳定性， 保证企业各种设计信息的安全 性，避免图纸、 文档的丢失和外泄。 通过软件或安全手段对客户端的计算机加以 保护

5、，记录用户对客户端 计算机中关键目录和文件的操作， 使企业有手段对用户 在客户端计算机的使用情况进行追 踪， 防范外来计算机的侵入而造成破坏。 通过 网络的改造， 使管理者更加便于对网络中 的服务器、 客户端、登陆用户的权限以 及应用软件的安装进行全面的监控和管理。因此需 要 （1 1）构建良好的环境确保企业物理设备的安全 （2 2）划分 VLANVLAN 控制内网安全 (3)安装防火墙体系 (4)安装防病毒服务器 (5)加强企业对网络资源的管理 如前所述，XXXX 公司信息系统存在较大的风险，网络信息安全的需求主要体 现在如下 几点： (1)XX(1)XX 公司信息系统不仅需要安全可靠的计算

6、机网络，也需要做好系统、应 用、数据 各方面的安全防护。为此，要加强安全防护的整体布局，扩大安全防护 的覆盖面，增加新 的安全防护手段。 网络规模的扩大和复杂性的增加，以及新的攻击手段的不断出现，使 XXXX 公司计算 机网络安全面临更大的挑战，原有的产品进行升级或重新部署。 (3)(3) 信息安全工作日益增强的重要性和复杂性对安全管理提出了更高的要 求，为此要 制定健全的管理制度和严格管理相结合。保障网络的安全运行，使其成为一个 具有良好的安全性、可扩充性和 易管理性的信息网络便成为了首要任务。 (4)(4) 信息安全防范是一个动态循环的过程，如何利用专业公司的安全服务，做好事前、 事中和事

7、后的各项防范工作，应对不断出现的各种安全威胁，也是 XXXX 公司面临的重要课题。 网络信息安全策略及整体方案 信息安全的目标是通过系统及网络安全配置，应用防火墙及入侵检测、安全 扫描、 网络防病毒等技术， 对出入口的信息进行严格的控制；对网络中所有的装 置(如 WebWeb! 务器、 路由器和内部网络等)进行检测、 分析和评估， 发现并报告 系统内存在的弱点和漏洞， 评估安全风险，建议补救措施，并有效地防止黑客入 侵和病毒扩散，监控整个网络的运行 状况。 3.1方案综述 XXXX 公司整个网络安全系统从物理上划分 4 4 个部分，即计算机网络中心、财 务部、业 务部及网络开发中心。从而在结构

8、上形成以计算机网络中心为中心，对 其他部分进行统一的网络规划和管理。每个安全区域有一套相对独立的网络安全 系统，这 些相对独立的网络安全系统能被计算机网络中心所管理。同时每个安全 区域都要进行有效的安全控制，防止安全事件扩散，将事件控制在最小范围。通 过对 XXXX 公 司现状的分析与研究以及对当前安全技术的研究分析，我们制定如下 企业信息安全策略 3 3. 1 1. 1 1 防火墙实施方案 根据网络整体安全及保证财务部的安全考虑，采用两台 ciscocisco pix535pix535 防火 墙，一防 火墙对财务部与企业内网进行隔离，另一防火墙对 InIn ternetternet 与企业内

9、 网之间进行隔离， 其中 DNSDNS 邮件等对外服务器连接在防火墙的 DMZDMZ 区与内、外 网间进行隔离。 防火墙设置原则如下所示：建立合理有效的安全过滤原则对网络数据包 的协议、 端口、源/ /目的地址、流向进行审核，严格控制外网用户非法访问；防 火墙 DMZDMZ 区访问控制， 只打开服务必须的 HTTRHTTR FTPFTP SMTPSMTP POP3POP3 以及所需的其 他服务，防范外部来的拒绝服务攻 击；定期查看防火墙访问日志；对防火墙的管 理员权限严格控制。 Cloud-PT Intarftet 计算机蹈堵中廿 Laptop-PT移动舟 erver-PT Server-PT

10、 Proxy Web 呼t%PT 3 3. 1 1. 2 2 InIn ternetternet 连接与备份方案 防火墙经外网交换机接入 InIn ternetternet。此区域当前存在一定的安全隐患：首 Server-PT DNS Server-PT Email 35&0 Mc a a POPTPC-PT PC-PT PC-PT PG业务部心 PCPT PC-PT PCS隔开 捷中心 3 3. 1 1. 4 4 VPNVPN 系统 先，防火墙作为企业接入 InIn ternetternet 的出口，占有及其重要的作用，一旦此防火 墙出现 故障或防火墙与主交换机连接链路出现问题，都会造成全台

11、与InIn ternetternet 失去连接；其次，当前的防火墙无法对进入网络的病毒进行有效的拦截。 为此，新增加一台防火墙和一台防病毒过滤网关与核心交换机。 防病毒网关 可对进 入网络的流量进行有效过滤， 使病毒数据包无法进入网络，提高内网的安 全性。防火墙 连接只在主核心交换机上， 并且采用两台防火墙进行热备配置， 分 别连接两台核心交换 机。设备及链路都进行了冗余配置，提高了网络的健壮性。 根据改企业未来的应用需求，可考虑网络改造后，将InIn ternetternet 连接带宽升 级为 100M100M 3 3. 1 1. 3 3 入侵检测方案 在核心交换机监控端口部署 CACA 入

12、侵检测系统（eTrusteTrustIntrusionIntrusion DetectionDetection），并在不同网段（本地或远程）上安装由中央工作站控制的网络入侵 检测代理，对网络入侵进行检测和响应。 防病垂过澹酥 Cloud-PT Iftterntt Hub*PT HubO Pi馬药肪灰墙 Rourt ( Rou PT Server-PT Email Repeater-PT I Rep eate rO 计算机网堵中吧 Ser* er-PT DNS Laptop-PT I R60-24PS piK535肪火甯1 1片 Butsr-pr / RoutBr? 3560-2PS IServ

13、er-PT Server*PT Proxy Web l-PT 换机 i八 PC-PTPC-PT PC0财务部 PCI PC-PTPC-PT PC2PC3 业番制 PC-PT 户 OPT PC4 PCS 咖开发中心 考虑到改公司和其子公司与其它兄弟公司的通信，通过安装部署 VPNVPN 系统, 可以为企业构建虚拟专用网络提供了一整套安全的解决方案。它利用开放性网络 作 为信息传输的媒体，通过加密、认证、封装以及密钥交换技术在公网上开辟 条隧道，使得 合法的用户可以安全的访问企业的私有数据，用以代替专线方式，实现移动用户、远程 LALAN N 的安全连接。 3 3. 1 1. 5 5 网络安全漏洞

14、 企业网络拥有 WWWWWW 邮件、域、视频等服务器，还有重要的数据库服务器， 对于管理人 员来说，无法确切了解和解决每个服务器系统和整个网络的安全缺陷 及安全漏洞因此需 要借助漏洞扫描工具定期扫描、分析和评估，发现并报告系 统内存在的弱点和漏洞，评估 安全风险，建议补救措施，达到增强网络安全性的 目的。 3 3. 1 1. 6 6 防病毒方案 采用 SymantecSymantec 网络防病毒软件，建立企业整体防病毒体系，对网络内的服 务器和所有计算机设备采取全面病毒防护。并且需要在网络中心设置病毒防护管 集中的安全策略管理可以对整个VPNVPN 网络的安全策略进行集中管理和配 Clcud-

15、PlS loternet Hub-PT HubD Cloud-PT 、兄 Cloud-PT Routt (Roul Server-PT Email ServsrPT DNS Repeiater-PT 1 RspsaterO LaptOp-PT 3560-J4PS 岂梓匕交換 fl? pinS35防火皤 r-PT jtRouter9 Serv&nPT server-PT Proxy vveb PC-PT PC-PTPC-PT PC2PCS 业筠部 PC-PT POFT PC4 PCS 网貉开发中心 理中心，通过防病毒管理中心将局域网内所有计算机创建在同一防病毒管理域 内。通过防 病毒管理域的主服

16、务器，对整个域进行防病毒管理，制定统一的防毒 策略，设定域扫描作 业，安排系统自动查、杀病毒。 可实现对病毒侵入情况、各系统防毒情况、防毒软件的工作情况等的集中 监控；可实 现对所有防毒软件的集中管理、集中设置、集中维护；可集中反映整 个系统内的病毒入侵 情况，设置各种消息通报方式，对病毒的爆发进行报警；可 集中获得防毒系统的日志信息； 管理人员可方便地对系统情况进行汇总和分析。 根据企业内部通知或官方网站公布的流行性或重大恶性病毒及时下载系统 补丁和杀毒 工具，采取相关措施，防范于未然。 3 3. 1 1. 7 7 访问控制管理 实施有效的用户口令和访问控制，确保只有合法用户才能访问合法资源

17、。 在内网中系 统管理员必须管理好所有的设备口令， 不要在不同系统上使用同一口 令；口令中最好要有 大小写字母、字符、数字；定期改变自己的口令。 3 3. 1 1. 8 8 重要文件及内部资料管理 定期对重要资料进行备份，以防止因为各种软硬件故障、病毒的侵袭和黑 客的破坏等 原因导致系统崩溃，进而蒙受重大损失。可选择功能完善、使用灵活 的备份软件配合各种 灾难恢复软件，全面地保护数据的安全。 系统软件、应用软件及信息数据要实施保密，并自觉对文件进行分级管理， 注意对系 统文件、重要的可执行文件进行写保护。对于重要的服务器，利用 RAID5RAID5 等数据存储技术加 强数据备份和恢复措施；对敏

18、感的设备和数据要建立必要的物 理或逻辑隔离措施。 3. 2 网络信息管理策略 计算机网络中心设计即公司网络安全管理策略的建设如下： (1)身份认证中心建设。身份认证是指计算机及网络系统确认操作者身份 的过程。 基于 PKIPKI 的身份认证方式是近几年发展起来的一种方便、安全的身份 认证技术。它采用软 硬件相结合、一次一密的强双因子认证模式，很好地解决了 安全性与易用性之间的矛盾。 USBUSB KeyKey 是一种 USBUSB 接口的硬件设备，它内置单 片机或智能卡芯片，可以存储用户的密钥或数字证书，利用USBUSB KeyKey 内置的密 码算法实现对用户身份的认证。 基于 PKIPKI

19、 的 USBUSB KeyKey 的解决方案不仅可以提供身份认证的功能，还可构建 用户集中管 理与认证系统、应用安全组件、客户端安全组件和证书管理系统通过 一定的层次关系和逻 辑联系构成的综合性安全技术体系，从而实现上述身份认 证、授权与访问控制、安全审计、 数据的机密性、完整性、抗抵赖性的总体要求。 (2) 安全登录系统。由于网络开发中心以及财务部门涉及公司的网络部署 以及财务状况，需要高度保密，只有公司网络安全主管、财务主管以及公司法人 才可以登 录相应的网络，而安全登录系统正是提供了对系统和网络登录的身份认 证，使用后，只有 具有指定智能密码钥匙的人才可以登录计算机和网络。用户如 果需要

20、离开计算机，只需拔出智能密码钥匙，即可锁定计算机。 (3) 文件加密系统。与普通网络应用不同的是，业务系统是企业应用的核 心。对于业务系统应该具有最高的网络安全措施，文件加密应用系统保证了数据 的安全存储。由于密钥保存在智能密码钥匙中，加密算法采用国际标准安全算法 或国家密 码管理机构指定安全算法，从而保证了存储数据的安全性。 (4) 防毒中心建设。病毒对公司网络的攻击对公司的整体运转造成威胁， 因此公司 各部门均需要建设完善的防毒中心， 使用企业版的防病毒系统的分级管 理功能，对网络进 行管理单元划分。在网络中心建立以及防病毒服务器，负责所 有二级防病毒服务器的统一 管理。在不同的子系统建立二级防病毒服务器，负责 本部的防病毒客户端管理。